Titelseite der aktuellen JIM-Studie (Bildquelle: Medienpädagogischer Forschungsverbund Südwest (mpfs)
Erstmals seit 2015 werden wieder Einstellungen zu Datenschutz dargestellt: »Im Rahmen der JIM-Studie 2021 wurde den Jugendlichen daher die Frage gestellt, wie sicher sie sich auf den unterschiedlichen Plattformen in Bezug auf den Schutz ihrer Daten fühlen«, heißt es. Die Ergebnisse sind überraschend – und zeigen vor allem noch mehr Forschungsbedarf auf.
»Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein«, steht so oder ähnlich in der DSGVO und den kirchlichen Datenschutzgesetzen – Datenminimierung ist ein Grundsatz für die Verarbeitung personenbezogener Daten, der theoretisch sehr einleuchtend ist. In der Praxis erhebt man aber gerne viel mehr Daten, als man eigentlich braucht – sei’s, weil man sie irgendwann brauchen könnte, sei’s weil man’s schon immer so gemacht hat und das Formular zur Datenerhebung nunmal die Felder hat, die es hat.
Sicher kein Best-practice-Beispiel für ein gutes Formular. Aber immerhin wahrscheinlich mit ordentlicher Rechtsgrundlage für jedes auszufüllende Feld. (Symbolbild, Photo by Leon Dewiwje on Unsplash)
Zu einem guten Datenschutzmanagement gehört daher, einen Blick darauf zu werfen, welche Daten man erhebt – und ob es die wirklich braucht. Mit einer klugen Gestaltung von Formularen lässt sich viel erreichen – das gilt sowohl für Web-Formulare wie für Formulare, die am Bildschirm oder auf Papier ausgefüllt und ausgedruckt oder digital verschickt werden.
Auftragsverarbeitung verbindet oft den Anwendungsbereich verschiedener Datenschutzregime: Wenn eine kirchliche Stelle einen nicht-kirchlichen Dienstleister beauftragt, unterliegt der zwar weiterhin der DSGVO, als verantwortliche Stelle muss die kirchliche Einrichtung aber die Durchsetzung des kirchlichen Datenschutzgesetzes sicherstellen. Auftragsverarbeitung im kirchlichen Kontext braucht daher Zusatzvereinbarungen zu den Standard-Auftragsverarbeitungsverträgen.
Als wäre es nicht schon anspruchsvoll genug, Dienstleister (die oft Massendienstleistungen anbieten) von Zusatzvereinbarungen zu überzeugen, verwendet man im Bereich des DSG-EKD auch noch den sehr unsympathischen Begriff »Unterwerfungserklärung«, der nicht unbedingt die besten Assoziationen weckt. Wohl auch deshalb hat der BfD EKD sein Muster einer Unterwerfungserklärung um hilfreiche Erläuterungen ergänzt.
Viel Beratung und Dialog, kaum Maßnahmen – das ist das Ergebnis einer Umfrage unter den Datenschutzaufsichten der Länder und des Bundes, die ich in den vergangenen zwei Wochen zur Nutzung von Microsoft-Produkten in der Cloud durchgeführt habe. Nur eine einzige Behörde antwortete auf die Frage, ob sie aufgrund eines Einsatzes von Microsoft-Produkten von Abhilfebefugnissen gegenüber Verantwortlichen gemäß Art. 58 Abs. 2 DSGVO Gebrauch gemacht habe, mit einem klaren Ja – die Berliner Beauftragte für Datenschutz und Informationsfreiheit.
scheinen Alternativen zu Microsoft-Produkten scheinen oft unvorstellbar – wenn schon die Hardware mit Microsoft-Branding kommt. (Symbolbild, Photo by Tadas Sar on Unsplash
Das Handeln staatlicher Aufsichten ist auch für den kirchlichen Datenschutzaufsichten unterworfene Verantwortliche interessant: Die kirchlichen Aufsichten bemühen sich um einen großen Einklang mit den staatlichen, in kirchlichen Stellen dominiert Microsoft den Bürosoftware-Markt genauso wie in weltlichen. Wo die staatlichen nicht hart durchgreifen, ist auch kein kirchlicher Durchmarsch zu erwarten.
Grundsätzlich hat die zweite Synodalversammlung des Synodalen Wegs am vergangenen Wochenende transparent gearbeitet, mit guter Öffentlichkeitsarbeit und umfassender Veröffentlichung von Ergebnissen. Beim Livestream kam es aber gelegentlich zu Aussetzern aus »rechtlichen Gründen«. Nicht nur die Öffentlichkeit, sondern – das wurde aber schnell korrigiert – auch die (möglicherweise aus zwingenden medizinischen Gründen) remote teilnehmenden Synodalen wurden teilweise von der Beratung ausgeschlossen.
So sah es im Livestream aus, wenn nichts zu sehen war. (Screenshot aus dem Livestream der zweiten Synodalversammlung)
Die rechtlichen Gründe liegen darin, wie der Livestream datenschutzrechtlich gestaltet wurde: nämlich mit Einwilligungen der einzelnen Teilnehmenden. Das ist auch hier die scheinbar einfachste, tatsächlich aber schlechteste Rechtsgrundlage, die genau zu solchen Problemen führt. Dabei wäre es eigentlich so einfach, hier eine datenschutzrechtlich saubere Lösung zu wählen, die Teilhabe ermöglicht, auch wenn kein Medienprivileg greift.
In vielen kleinen Vereinen gilt Datenschutz vor allem als eins: lästig. Anders in der Katholischen jungen Gemeinde Rheinbach – den Leiter*innen des Jugendverbandes ist es wichtig, für Kinder und Jugendliche einen sicheren Ort zu schaffen. Dazu gehört auch, die Privatsphäre zu achten und informationelle Selbstbestimmung zu wahren. Datenschutz wird dort deshalb nicht nur als Pflichtaufgabe angesehen, sondern aktiv gestaltet. Im Interview erzählt Berni Escamilla, Mitglied der Pfarrleitung und des Datenschutz-Komitees, wie es dazu kam und was andere Vereine von der KjG Rheinbach lernen können.
Auch wenn keine Gesichter erkennbar sind: Der Blick des Kindes in der Mitte und der geschickte Aufbau in mehreren Bildebenen zieht in das Bild hinein und macht das Motiv lebendig. (Bildquelle: KjG Rheinbach)
Frage: Ihr beschäftigt euch seit einigen Jahren sehr viel damit, wie ihr eure Jugendarbeit datenschutzkonform gestalten könnt. Warum hat das für euch einen so großen Stellenwert?
Bernardo Escamilla: Zum einen, weil wir einfach auf der richtigen Seite des Gesetzes stehen wollen, aber auch, weil wir umfassend auf unsere Mitglieder und besonders die Kinder achtgeben wollen. Wir sehen unseren Auftrag nicht nur darin, den Kindern einen Freiraum zu geben, in dem sie sich entfalten und entwickeln können, wir wollen diesen Freiraum auch so gestalten, dass er so gut es geht ein sicherer Raum für Kinder ist. Alle unsere Leiter nehmen an den Schulungen des BDKJ zur Prävention sexualisierter Gewalt teil, und genauso halten wir es für sinnvoll, beim Datenschutz auf diese Aspekte zu achten.
Erstmals äußert sich eine kirchliche Aufsicht ausführlicher zur gemeinsamen Verantwortlichkeit. Der Beauftragte für den Datenschutz der EKD hat am Donnerstag eine FAQ-Liste zu gemeinsam verantwortlichen Stellen veröffentlicht. Die Liste erläutert allgemein, wie gemeinsame Verantwortlichkeit umgesetzt wird. Die eigentlich spannende und bisher ungeklärte Frage, die nach der Zusammenarbeit von Stellen, die unterschiedlichen Datenschutzgesetzen unterliegen, wird immerhin angesprochen.
Im Blick sind dabei Konstellationen, in denen kirchliche und nichtkirchliche Stellen gemeinsam verantwortlich sind – gemeint sind damit der Diktion des DSG-EKD folgend »kirchliche Stellen« als »dem DSG-EKD unterfallende«, also auch Kooperationen zwischen Stellen, die unterschiedlichen Kirchenrechtsregimen unterliegen. Einige Fragen bleiben trotzdem offen.
Solide konfessionelle Milieus haben Vorteile: Wo’s die gibt, braucht man sich nicht um Rechtsfragen der Ökumene zu kümmern Monokonfessionelle Milieus gibt’s aber immer weniger, das Bewusstsein und der Bedarf für die Zusammenarbeit aller Christ*innen immer mehr, und dementsprechend auch immer mehr ökumenische institutionelle Kooperationen: Besonders im sozialen Bereich gibt es viele Einrichtungen in ökumenischer Trägerschaft: Dem Selbstverständnis nach christlich, aber eben nicht nur einer Gemeinschaft zugehörig. Das wirft rechtliche Fragen auf, auch für den Datenschutz: Gilt kirchliches Recht – und wenn ja welches?
Auch wenn Diakonie und Caritas draufstehen: Ob es ein katholisches, ein evangelisches oder ein ökumenisches Haus im Rechtssinn ist, erkennt man daran noch nicht. (Caritas/Roland Knillmann)
Im Bereich des Datenschutzes sind die konfessionellen Gesetze wenig hilfreich; dort kommen solche Konstruktionen schlicht nicht vor. Die jeweiligen Festlegungen zum organisatorischen Anwendungsbereich gehen von Stellen aus, die zu genau einer Kirche gehören. Was zu gelten hat, wenn eine Institution evangelisch und katholisch getragen wird, und das womöglich noch zu gleichen Gesellschaftsanteilen, ist ungeklärt. Mit Blick auf das kirchliche Arbeitsrecht hat sich der ehemalige Präsident des Kirchen- und des Verfassungsgerichtshofs der EKD Harald Schliemann in der aktuellen Ausgabe der ZMV (4/2021, S. 182–185) mit der Frage ökumenischer Trägerschaft befasst – ein Aufsatz, der zwar nicht vom Datenschutzrecht handelt, aber doch auch dafür erhellend ist.
Gemeinsame Verantwortlichkeit ist kompliziert genug – wenn mehrere Verantwortliche gemeinsam über Zwecke und Mittel der Datenverarbeitung entscheiden, braucht es gute Absprachen und eine transparente Vereinbarung darüber, wer welche Pflichten übernimmt. Wenn kirchliche Datenschutzgesetze gelten, wird es noch komplizierter: Wie mit Unterschieden in den einzelnen Gesetzen umzugehen ist und welche Aufsicht wann zuständig ist, ist nicht in den einzelnen Gesetzen geregelt, weder von Aufsichtsbehörden noch von Gerichten sind Einschätzungen und Entscheidungen dazu bekannt – und die sehr übersichtliche Kommentarliteratur hält sich bedeckt.
Fünf Fäuste für eine gemeinsame Verantwortlichkeit (Symbolbild, Photo by Antonio Janeski on Unsplash)
Eine Expertin für den kirchlichen Datenschutz und seine Umsetzung ist die Juristin Beate Brucker. Die Beraterin ist betriebliche Datenschutzbeauftragte für verschiedene kirchliche Einrichtungen erläutert im Interview, wie man mit gemeinsamer Verantwortlichkeit bei unterschiedlichen Datenschutzgesetzen umgeht.
Im Alltag, und gerade beim Versand von Unterlagen, muss es oft schnell gehen. Hier kommt es immer noch häufig vor, dass das Fax als Übertragungsmedium genutzt wird. Jedoch ist dem Versender nicht bewusst, wo das Faxgerät vom Empfänger steht oder wer Zugriff auf das Gerät hat – das ist auch ein datenschutzrechtliches Risiko.
Schematische Darstellung eines unverschlüsselten (oben) und eines verschlüsselten (unten) Faxtransfers. Quelle: Tätigkeitsbericht 2020 KDSA Ost.
